Android-Schädlinge im E-Mail-Spam

Auf den ersten Blick mag es so erscheinen, als würden sich die von FireEye entdeckten schädlichen Mitteilungen alter Tricks bedienen, doch eine von den Experten durchgeführte Analyse hat gezeigt, dass sie durchaus nicht auf Drive-by-Downloads oder die Ansiedlung gewöhnlicher Schadprogramme für den PC abzielen. Anstelle dessen haben sich die Autoren der Spam-Versendung angeboten, via E-Mail mobile Schädlinge zu verbreiten, in diesem Fall FakeDefender.

Die neue Spam-Kampagne wurde Anfang September gestartet und missbraucht den Namen des United States Postal Service (USPS). Der Text der gefälschten Mitteilung lautet: “USPS Notification: Courier couldn’t make the delivery of your parcel. Reason: Postal code contains an error“ („USPS-Benachrichtigung: Kurier konnte Ihr Paket nicht zustellen. Falsche Postleitzahl“). Dem Empfänger der schädlichen Fälschung wird nahegelegt, „ein Etikett auszudrucken“, indem er auf die gleichnamige Schaltfläche klickt.

Nach Angaben der Experten wird bei Aktivierung dieses Links eine schädliche Datei im Format APK auf das mobile Gerät geladen. Eine dabei durchgeführte Analyse der http-Anfragen hat um die zwei Dutzend URL aufgedeckt, von denen der Download der apk-Dateien umgesetzt wird. Zur Tarnung tragen einige von ihnen die Bezeichnung LabelReader.apk.

FireEye weist darauf hin, dass dieser Schädling nicht neu ist – die ersten Samples erschienen zu Beginn des laufenden Jahres. Damals forderte FakeDefender von den Anwendern „eine Zahlung für die Beseitigung nicht existierender Bedrohungen auf ihrem Gerät“. Kauft das Opfer eine Lizenz, so ist sein mobiles Gerät angeblich vor der Installation aller beliebigen Schadprogramme geschützt

FakeDefender ist in der Lage, auf einem befallenen Gerät alle ein- und ausgehenden Anrufe und Textnachrichten abzufangen. In einigen Fällen verwendet der Schädling zu Tarnungszwecken verschiedene User-Agents: Auf einem Gerät kann er aussehen wie eine rätselhafte .apk, auf einem anderen wie ein zip-Archiv mit einem harmlosen Namen wie etwa Wedding_Invitation_Chicago („Hochzeitseinladung nach Chicago“).

Das Betriebssystem Android ist in der Lage, die Installation derartiger Fake-Antiviren zu verhindern, allerdings ist der von den Cyberkriminellen gewählte Kanal zur Verbreitung des Schädlings für diese Plattform recht ungewöhnlich und eher für Windows-Bedrohungen typisch. Um den Download verdächtiger Programme zu verhindern, können Android-Anwender in den Einstellungen die Sicherheitsoption „Allow installation of apps from unknown sources“ („Installation von Anwendungen aus unbekannten Quellen erlauben“) deaktivieren. In derselben Rubrik kann auch die Funktion Anwendungsüberprüfung aktiviert werden, die ebenfalls die Installation von Schädlingen verhindert oder den Anwender bei unerwünschten Installationen warnt.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.